我如何保护我的公司免受我的 IT 人员的攻击？

Question

我如何保护我的公司免受我的 IT 人员的攻击？

Jes*_*sse 75 security best-practices

我将聘请一名 IT 人员来帮助管理我办公室的计算机和网络。我们是一家小商店，所以他将是唯一一个做 IT 的人。

当然，我会仔细面试，检查参考资料，并进行背景调查。但你永远不知道事情会如何发展。

如果我雇用的人是邪恶的，我如何限制我公司的曝光率？我如何避免让他成为组织中最有权势的人？

Answer 1

Bac*_*its 106

您这样做的方式与保护公司免于与客户名单流失的销售主管或会计主管挪用资金或库存经理免于流失一半库存的方式相同，主要是：信任，但要验证。

至少，我会要求 IT 系统和服务上所有管理员帐户的所有密码都保存在密码保险箱中（或者像 KeePass 这样的数字形式，或者保存在保险箱中的文字纸）。您需要定期验证这些帐户是否仍处于活动状态并具有适当的访问权限。大多数有经验的 IT 人员将此称为“如果我被公共汽车撞到”的情况，这是消除故障点的总体思路的一部分。

在我工作的一家公司，我是唯一的 IT 管理员，我们与一位负责处理此事的外部 IT 顾问保持着关系，主要是因为公司过去曾被烧毁（因为无能而不是恶意）。他们有远程访问密码，可以在被问到时重置基本的管理员密码。但是，他们无法直接访问任何公司数据。他们只能重置密码。当然，由于他们可以重置企业管理员密码，因此他们可以控制系统。再次，它变成了“信任但验证”。他们确保他们可以访问系统。我确保他们没有在我们不知情的情况下改变任何东西。

请记住：确保一个人不会毁了你的公司的最简单方法是确保他们开心。确保你的工资至少是中值。我听说过太多 IT 人员恶意破坏公司的情况。正确对待您的员工，他们也会这样做。

Answer 2

joe*_*rty 32

你如何防止你的簿记员从你那里挪用公款？您如何防止销售人员从供应商那里收取回扣？

非 IT 人员有一种被误导的观念，即我们 IT 人员在实践一种我们在善恶界线中运用的黑色艺术，并且一时兴起，我们会为了“打倒尖头发的老板而一时兴起采取一些邪恶的阴谋诡计” ”。

管理 IT 员工就像管理任何其他员工一样。

不要再看那些描述我们这些认真对待自己职位责任的人的电影，就好像我们是一心想要统治和/或破坏世界的流氓特工。

我的簿记员审核我的销售人员。我的注册会计师审计我的簿记员。谁来审计 IT 人员？这与电影无关，而是与降低经商风险有关。 (13认同)
@杰西：我听到了。我的回答有点夸张，但最终您需要像管理其他员工一样管理您的 IT 员工。如果您需要有人来审核您的 IT 员工，那么您需要自己承担该责任或聘请某人来承担。 (3认同)
遗憾的是，IT 之外的许多人都认为，每个 IT 人员只是想破解他们的系统，然后带着公司机密和银行帐户的密码逃跑。他们甚至从来没有考虑过我们和他们的其他员工一样只是一群人，而其他人已经有办法做到这一点而根本不需要破解任何东西，因为他们可以访问这些数据作为他们日常工作的一部分。 (3认同)

Answer 3

Cho*_*er3 21

哇塞！真的么？在 serverfault 上提出的大胆问题，如果有人被您的问题冒犯了，请不要惊慌，尽管我确实理解。

好的，实用的解决方案；您可以坚持（并经常测试）对所有内容拥有自己的管理员/root 等效帐户，随机将其中一个异地备份带回家并恢复它，显然尝试从您认识/信任的人那里招募或花费大量雇用他们的时间。

我最强烈的建议是雇佣两个人——都向你报告，他们不仅会让彼此保持诚实，而且当一个人在度假或生病时，你会得到保障。

实际上，我遇到过很多这样的情况，一个人或两个人的小商店，他们只是在为小企业榨取可笑的金钱来从事非常不专业的工作。我认为这是一个很好的问题。 (3认同)
对于非技术用户的所有内容，我有点畏缩。应该有适当的政策来确保非技术人员不会使用它们，除非有实际需要......即管理员被解雇。不是因为非技术人员觉得有必要开始浏览邮件服务器或做一些不在他们管辖范围内的事情，可以这么说。 (2认同)

Answer 4

War*_*ica 11

你有人力资源人员吗？还是会计师？您如何防止您的 HR 人员作恶并出售每个人的个人信息？您如何防止您的会计师或财务人员从您的手下窃取公司拥有的一切？

对于所有职位，您都应该制定程序来限制一个人可能造成的伤害。你的默认立场应该是你信任你雇佣的人（如果你不信任他们，不要雇佣他们或不留他们），但有制衡是合理的。

即使对于一家小公司，也不应该只有一个“IT 人员”，他是唯一一个什么都知道的人。（就像你不应该只有一个人可以处理工资单——如果那个人生病了怎么办？）。其他人需要密码，需要检查备份等。

您可以做的一件事是将文档作为优先事项。在面试候选人时，确保给你雇用的人时间来记录事情是如何设置的并讨论文件 - 询问他们过去做了什么来记录他们的网络，要求查看样本。

我的习惯是总是把“系统指南”或多或少地记录一切——我们有什么设备，它是如何设置的，我们遵循的程序等等。这显然是一个不断发展的文件（一系列文件和文件在大多数情况下），但您可以随时复制并了解 IT 人员如何设置以及其他人需要了解哪些关键信息，以防 IT 人员被公共汽车撞到。如果您真的想做好准备，您可以请一位外部顾问阅读系统手册，并告诉您如果 IT 人员发生任何事情，他们需要介入什么。

或者，如果您真的很偏执，您可以让外部顾问进来，将系统手册中的内容与他们查看您的系统时看到的内容进行比较。是否安装了其他软件？是否有额外的管理员或远程访问帐户？

Answer 5

sys*_*138 6

这很难，因为失败会带来痛苦（您如何从以前的 IT 人员那里搜索后门？）。如果您足够小以至于还没有 IT 存在，那么可以限制暴露的分区结构真的很难实施。除非您有其他人来完成所有高度信任的活动，例如需要域管理员凭据的事情，否则您必须将其交给新员工。

您正在雇用对他们高度信任的人，因此您需要信任他们作为回报，因此如果您不能 100% 确定，请不要雇用他们。背景调查可以提供帮助。坚持个人对品格的推荐，而不仅仅是能力；如果他们有 LinkedIn 个人资料，请询问他们的一些联系人或坚持与他们联系。

是的，这将是非常具有侵入性的。如果您真的对某人存有疑虑，那么这完全值得，因为万一最坏的情况确实发生了，这会给企业带来成本。当他们开始时，与他们密切合作。去了解他们。让整个公司与他们互动。观察他们如何与人合作。

一旦新工作的光芒消退，看看他们如何处理意外的挫折。他们是变得怨恨和粗鲁，还是耸耸肩处理？如果你的办公室喜欢随意欺负新人，看看他们的反应；微妙而安静，对报复目标非常尴尬，公开而浮华，还是笑着耸了耸肩？这些是一些有助于识别潜在报复破坏者的线索。

归档时间：	14 年，2 月前
查看次数：	9581 次
最近记录：	10 年，6 月前